Kimlik Merkezli Uyumdan Adres Merkezli Risk Yönetmeye Geçiş: Know Your Wallet

Hukuk ve Uyum Görevlisi Avukat Emre Avşar, Fintechtime Mart 2026 sayısı için yazdı “Kimlik Merkezli Uyumdan Adres Merkezli Risk Yönetmeye Geçiş: Know Your Wallet”.

“KYW tartışmasını kimlik doğrulamanın devamı olarak okumuyorum; aksine uyumun işlem katmanına inişi olarak görüyorum. DID kişiyi doğrular, ancak zincir üzerindeki risk adres davranışında oluşur ve sorumluluk da tam bu noktada başlar. MASAK çerçevesi, özellikle unhosted cüzdan transferlerinde beyan–belge–karar zincirini zorunlu kılarak KYW’yi teorik bir tercih olmaktan çıkarıp operasyonel bir gerekliliğe dönüştürüyor. Mesele yalnızca risk skoru üretmek değildir; on-chain sinyali, ölçülü, gerekçelendirilebilir ve denetlenebilir bir hukuki karara bağlayabilmektir. Travel Rule yükümlülükleri, rol paylaşımı ve veri köprüsü kurulmadan bu mimari ayakta kalamaz. Son kertede KYW, cüzdanı tanımaktan ibaret değildir; zincir üzerindeki davranışı sorumluluk mühendisliğine dönüştürme pratiğidir.”

Merkeziyetsiz kimlik (DID) sistemlerine ilişkin önceki yazımda tartışmayı “kimlik” meselesi üzerinden kurmuştuk. Dijital dünyada bir kişinin kimliğini, merkezi bir otoriteye bağımlı olmadan doğrulamak mümkün mü; bu doğrulama hukuki süreçlere nasıl eklemlenir, kimlik beyanı hangi ispat rejimiyle güvence altına alınır? DID tartışması, doğal olarak, “kişiyi tanıma” problemini daha iyi çözmeyi hedefler.

Bugün aynı ekosistemde farklı bir odak büyüyor: “Kişiyi tanıyoruz, peki işlemi yapan cüzdanı ne kadar tanıyoruz?” Bu soru ilk bakışta DID’in devamı gibi görünse de, pratikte başka bir sorun sınıfına işaret eder. DID, kimliği doğrular, KYW (Know Your Wallet) ise riskin ve sorumluluğun hangi noktada başlayacağını belirlemek için adres düzeyinde davranış ve ilişki analizi yapar. Yani KYW, kimlik doğrulama sistematiği değil, uyum karar motorunun işlem katmanına inmesidir.

Bu ayrım, MASAK çerçevesine bakınca daha da netleşir: MASAK rejimi kişiyi merkeze alır; blockchain gerçekliği ise işlemi çoğu zaman “adres” üzerinden üretir. Uyum fonksiyonunun asıl imtihanı, bu iki dünyayı çarpıştırmadan birleştirmektir.

KYW’nin Teknik Süreci: “Skor” Değil, Karar Üreten Bir Mimari

KYW’yi sahada çalıştırdığınızda, “bir analiz aracı aldık, risk skoru üretiyor” seviyesinde kalmaz. KYW’nin anlamı, risk sinyalini operasyonel ve hukuki karara çevirmektir. Bu da birkaç katmandan oluşur.

İlk katman adresin müşteriye bağlanmasıdır terimsel adıyla wallet attribution. Çünkü MASAK perspektifinde riskin muhatabı hâlâ müşteridir. Ancak blockchainde risk sinyali adres üzerinden gelir. Bu sebeple, müşterinin “bu adres benim” beyanını salt sözlü beyan olarak bırakmak yerine kriptografik bir sahiplik ispatıyla güçlendirmek işin temelidir. Burada amaç “kimlik tespiti yapmak” değil; işlem kararının dayanağını sağlamlaştırmaktır: ileride işlem kısıtı doğduğunda, kurumun “hangi adresi hangi müşteriyle neye dayanarak ilişkilendirdiği” denetlenebilir olmalıdır.

İkinci katman adres/işlem taramasıdır. Bu katmanda KYT/KYW motorları; adresin fon kaynağı, karşı taraf kümeleri, yaptırım/illegal faaliyet kategorileriyle temas olasılığı, direkt/indirekt maruziyet, tutar ve yön gibi parametrelerden risk sinyali üretir.

Üçüncü katman karar ve vaka yönetimidir. Asıl uyum farkı burada çıkar. KYW motoru “HIGH risk” dediğinde kurumun cevapları sabit olamaz; işlem türüne, karşı taraf tipine, varlık tipine müşterinin risk profiline ve işlem bağlamına göre aksiyonlar değişmelidir. Bu katmanda audit trail (gerekçe, karar veren rol, uygulanan eşik, ek belge talebi, süre) oluşturulmazsa, KYW hukuken ayakta durmakta zorlanır.

Dördüncü katman sürekli izleme ve yeniden taramadır. Çünkü adreslerin risk profili statik değildir; bugün temiz görünen bir adres yarın riskli kümelerle temas edebilir. Bu yüzden KYW tek seferlik “onay” değil, risk temelli “devamlı kontrol” mantığıdır.

Kayıtlı olmayan (unhosted) cüzdanlar: KYW’nin sahada en sert testi

KYW’nin “lütuf” değil “gereklilik” olduğu yer unhosted wallet akışlarıdır. MASAK Rehberi; herhangi bir KVHS nezdinde kayıtlı olmayan bir cüzdan adresine gönderilen veya böyle bir adresten alınan transferlerde, transferin tarafı olan müşteriden, kayıtlı olmayan cüzdan sahibi gönderici/alıcıya ilişkin kimlik bilgilerine dair beyan alınmasını ve risk temelli yaklaşım çerçevesinde ilave bilgi-belge talep edilmesini açıkça yazar; yeterli bilgi elde edilemezse transferin gerçekleştirilmemesi, işlemlerin sınırlandırılması veya iş ilişkisinin sonlandırılması seçeneklerinin göz önünde bulundurulmasını söyler.

Burada MASAK, “adresin arkasındaki kişiye ilişkin görünürlük” ihtiyacını doğrudan uyum yükümlülüğüne çevirir. Dolayısıyla KYW; unhosted transferlerde beyan–belge–karar üçlüsüyle birlikte tasarlanmalıdır.

Veri Köprüsü Kurmadan KYW Çalışabilir mi?

KYW, on-chain veri üretir, denetleyen kurum  ise off-chain kayıt, bildirim, denetlenebilirlik ve karşı taraf veri paylaşımı ister. Bu yüzden asıl kritik konu “hangi analiz aracını seçtim?” değil; on-chain sinyali off-chain kayıt ve mesajlaşmaya nasıl bağladım? sorusudur.

MASAK Rehberi transfer mesajlarındaki verilerin gönderilmesinde dağıtık defter teknolojisi veya bağımsız mesajlaşma platformları/uygulama arayüzleri gibi araçların kullanılabileceğini söyler. Bu ifade, pratikte Travel Rule uyumunun yalnızca “zincirin üzerine not düşmek” olmadığını, ayrı bir mesajlaşma altyapısı gerektirdiğini gösterir.

Uluslararası tarafta “sunrise challenge” diye konuşulan problem de budur: karşı tarafın Travel Rule çözümü yoksa veya farklı protokol kullanıyorsa veri paylaşımı kilitlenir. Notabene’nin SafeGateway/SafeTransact ürün anlatımlarında bu “reachability / sunrise challenge” vurgusu açıkça yer alır.

Banka–Saklama–Platform Arasındaki Sorumluluk Paylaşımı Teknik Değil, Hukukidir

Türkiye’de en sık yapılan hata, sorumluluk paylaşımını “kim sıcak cüzdanı tutuyor?” gibi bir teknik soruya indirgemektir. Oysa MASAK Rehberi bu noktada çok net bir rol ayrımı tarif eder: SPK’nın III-35/B.2 Tebliği’nin 26. maddesi kapsamında, müşteri varlıklarının tamamı saklama kuruluşunda tutuluyor ve müşteri transferleri saklama kuruluşunun sıcak cüzdanları üzerinden gerçekleşiyorsa, seyahat kuralı yükümlülüklerini saklama kuruluşu yerine getirir; saklama kuruluşu Travel Rule’u uyguluyorsa platformun tekrar uygulamasına gerek yoktur, ancak bu durum platformun diğer yükümlülüklerini ortadan kaldırmaz.

Bu paragraf şunu söyler: Travel Rule’un “operasyonel icrası” tek bir tarafta toplanabilir; ancak uyum yükümlülüklerinin tamamı devredilmiş sayılmaz. Platform–saklama–banka mimarisinde KYW tasarımını yaparken şu soruları baştan yazılı hale getirmek gerekir:

(i)Travel Rule mesajını kim üretecek, kim gönderecek, kim saklayacak? (ii) Unhosted wallet beyanlarını kim alacak, kim doğrulayacak, kim karar verecek? (iii) KYW risk skorunu kim üretecek; bu skor “karara” kim tarafından bağlanacak? (iv) ŞİB/denetim/erişim engeli gibi süreçlerde vaka dosyasının sahibi kim?

KYW’nin “Ayakları Yere Basan” Hukuki Çerçevesi: Ölçülülük, Gerekçe, İtiraz

KYW’nin hukuken ayakta durması, üç temel prensibe bağlı:

Birincisi ölçülülük. Unhosted transferlerde “bilgi yoksa blokla” yaklaşımı ilk refleks gibi görünse de, MASAK Rehberi risk temelli yaklaşımı ve ilave bilgi-belge talebini açıkça söyleyerek kurumlara bir takdir alanı bırakır; ancak bu takdir alanı ölçüsüz kullanılırsa müşteri mağduriyetine, itibar riskine ve sözleşmesel ihtilafa dönüşür.

İkincisi gerekçelendirilebilir olmak. Bir işlemi geciktirdiğinizde veya reddettiğinizde, bunun yalnızca “skor yüksek” olduğu için değil; hangi risk kategorisiyle, hangi eşikle ve hangi ek kontrol uygulanamadığı için yapıldığını yazabilmeniz gerekir. Denetimde “hangi sağlayıcı?” sorusundan önce “hangi karar mantığı?” sorulur.

Üçüncüsü itiraz ve süreç tasarımı. Özellikle false pozitive senaryolar kaçınılmazdır. KYW kararları tamamen otomatikleşirse, false pozitiveler operasyonu kilitler.

Bu projelerde riskler genelde üç yerde patlar.

İlki adres atfı. Müşterinin adresi gerçekten kontrol ettiğini ispatlayamadan “benim” dediği adrese güvenmek, hem Travel Rule veri doğruluğu hem de risk yönetimi açısından zayıf noktadır.

İkincisi cross-chain kör noktalar. Bridge/DEX rotaları ve zincirler arası hareketler, analiz motorlarının farklı kalite seviyelerinde görünebilir. Burada “aracın kusuru” değil, kurumun “kör nokta yönetimi” önemlidir: hangi varlık/zincir kombinasyonunda hangi ek kontroller var, hangisinde yok?

Üçüncüsü erişebilirlik ve veri paylaşımı. Karşı taraf KVHS’nin Travel Rule uyumluluğu, protokol farklılıkları ve veri paylaşım kapasitesi operasyonu en çok kilitleyen noktadır. Sunrise challenge tam olarak bu gerilimi anlatır.

KYW, DID’in Devamı Değil; Uyumun İşlem Katmanına İnişidir

DID yazımda kimliğin dijital dünyada ispatlanabilirliğini tartışmıştım. KYW ise daha sert bir gerçekle yüzleşmeyi gerektiriyor: risk ve sorumluluk artık yalnızca müşteri profilinde değil, zincir üzerindeki adres davranışında da oluşuyor.

Türkiye’de bu tartışma teorik değil. Tedbirler Yönetmeliği 24/A ile Travel Rule veri yükümlülükleri, unhosted wallet’larda beyan–belge–karar zorunluluğu ve platform–saklama rol ayrımı, KYW’nin fiilen uyum mimarisinin bir parçası haline geldiğini gösteriyor.

Son söz olarak şunu net söylemek isterim, KYW, “cüzdanı tanımak”tan ibaret değildir. KYW, on-chain sinyali off-chain hukuki karara çeviren bir sorumluluk mühendisliğidir. Bunu doğru kuran kurumlar yalnızca uyum yükümlülüklerini yerine getirmez aynı zamanda müşterilerine karşı da bir finansal davranış standartı oluşturur. Pek tabi ki bunu başarmak için kurumsal uyum her zamanki gibi başrolde olmalı…